※ [本文转录自 Gossiping 看板 #1LrvAXqK ]
作者: allen501pc (Linux User!) 看板: Gossiping
标题: [新闻] 抓到了! 露天拍卖大漏洞,消费购物资料
时间: Sat Aug 22 05:05:31 2015
1.媒体来源:
硬是要学
2.完整新闻标题:
抓到了! 露天拍卖大漏洞,消费购物资料全都“露天”!
3.完整新闻内文:
文/好手 发表于 2015/08/21
在网拍上买东西没多久后就接到诈骗集团来电告知“分期”设定错误,这应该是许多网拍
买家都有遇到的事情,过了这么多年诈骗案件还是层出不穷,向站方申诉得到的都是个资
未外泄,诈骗集团依然可以精准的取得订单资料,到底是为什么?
今天资安专家 Zhi-Wei Cai 在 Facebook 上录制了一段影片,揭露露天拍卖这个可以伪装
成“任何人”的漏洞,透过这个漏洞,有心人士可以绕过系统安全机制,直接伪装成任何
卖家,并且检视该卖家的成交资料,并可以进一步的取得卖家的联络方式、付款方式等资
料。推测诈骗集团应该是使用同类型的方式取得消费者资料。
同时,Zhi-Wei Cai 也指出至少在一年前就已经有安全研究者将问题回报给露天拍卖,
但一直到这个影片被公开至网络上之前,露天拍卖完全没有任何修复动作,露天拍卖变
成诈骗集团的 Open Data (开放资料),也让该平台的消费者蒙受个资遭窃的风险。
对于露天拍卖的处理态度,Zhi-Wei Cai 则说:“封闭消息、否认问题的存在或用法律手
段让大家噤声并不能使问题消失。只有尝试修复问题才能真正解决问题,有问题并不是可
耻的事情,但是视而不见,把客户的安全置于险境,就是个大问题了。比起 App 安全认证
,涉及金钱交易的平台应该优先进行规范才是正确的做法。”
身为台湾网络拍卖平台的先驱,业者应该以更积极主动的态度面对各种资安问题,对于重
复发生机率如此高的问题,露天拍卖在经过一年的时间不但无法主动发现并排除,直至影
片被曝光后工程团队才赶工排除,我们也很想问露天经营团队:你们将消费者的安全摆在
第几顺位?
4.完整新闻连结 (或短网址):
http://goo.gl/vuv0jn
5.备注:
露天拍卖帐号大量遭盗?业者:不算异常
http://goo.gl/N9iCk5